امنیت سایت به زبان ساده به معنی محافظتکردن از وبسایت در برابر حملات مخرب هکرها، بدافزارها، و سایر عوامل تهدیدکننده است.
چرا امنیت سایت مهم هست :
اگر سایت شما محافظت نشده باشد، هکرها می توانند از سایت شما استفاده کنند تا بازدیدکنندگان سایت شما را با بدافزار آلوده کنند و داده هایی را که سایت شما در اختیار دارد به سرقت ببرند.
برای امنیت سایت باید چکارکنیم ؟
اگر سایت شما هک شده باشد یا اینکه سایت شما زیر دیداس های سنگین باشد وقت آن هست که برای امنیت سایت خود فکر چاره کنید.
تیم تک وردپرس با استفاده از جدید ترین روش ها جلوی تمامی حملات :
حملات DoS و DDoS
حملات MITM
حملات Phishing
حملات باجافزاری (Ransomware)
حملات رمز عبور (Password Attack)
حمله SQL Injection
حمله URL Interpretation
حمله DNS Spoofing
حمله Trojan Horses
حمله Drive-by
حمله Eavesdropping
تیم تک وردپرس جلوی تمامی حملات را گرفته تا به هیچ عنوان هکر ها نتوانند سایت را مورد حملات گسترده و پیچیده قرار دهند.
برای امنیت سایت فقط کافیست با تیم تک وردپرس در ارتباط باشید.
برای امنیت سایت باید به چه مواردی دقت کنیم :
بدافزار (Malware) : این واژه، ترکیب عبارت «Malicious Software» است. بدافزارها میتوانند به شکلهای مختلف تبدیل شوند و البته بهسختی قابلشناسایی خواهند بود.
حملات دیداس (DDoS) : حملات DDoS، پیچیده به نظر میآیند؛ اما ایدهی کلی آن ساده است. افرادی با ارسال درخواست و ترافیک بیش از حد سمت یک سایت، آن را از دسترس کاربران اصلی خارج میکنند.
وندالیسم یا خرابکاری (Vandalism) : اگر هکری بتواند به سایت شما دسترسی پیدا کند، قادر به ایجاد تغییراتی در آن خواهد بود. گاهی اوقات این تغییرات در قالب تزریق بدافزار به سایت است که میتواند بهصورت پیامی روی سایت به نمایش درآید.
از دست دادن ناگهانی دیتا : گاهی اوقات حتی ممکن است سایت شما در معرض فعالیتهای خرابکارانه و بدافزارها قرار نگیرد ولی همچنان با خسارتهایی مواجه شود. از دست دادن ناگهانی اطلاعات سایت میتواند همانند حملات سایبری موجب اخلال در عملکرد آن شود.
رعایت موارد زیر برای امنیت سایت مهم میباشد :
1) امنیت هاست :
هاستِ سایت خود را از شرکت های معتبر و قابل اعتماد تهیه کنید. وجود بستر امن که سایت بر روی آن میزبانی می شود از اهمیت بسیار ویژه ای برخوردار است. استفاده از سیستم های امنیتی شامل آنتی ویروس ، آنتی اسپم ، آنتی شل ، فایروال سخت افزاری و نرم افزاری و کانفیگ حرفه ای و اصولی سرور نقش اساسی در برخورد با حملات را ایفا می کند.
سرویس میزبانی وردپرس شما مهم ترین نقش را در امنیت سایت وردپرسی شما دارد. یک ارائه دهنده میزبانی مناسب اقدامات اضافی را برای محافظت از سرورهای خود در برابر تهدیدات معمول انجام می دهد.
2) امنیت رمز عبور :
هر یک از بخشهای ورودی را در سایت خود به گذرواژههای پیچیده، تصادفی و ترکیبی (نمادها، حروف و اعداد) مجهز کنید.
3) بروزرسانی پلاگین ها :
شما به جهت افزایش امنیت سایت خود در اولین قدم باید سایت و افزونه های سایت خود را بروز نگه دارید.
بروزرسانی ها برای سلامتی و امنیت وب سایت شما بسیار حیاتی بوده و اگر نرم افزار یا برنامه های سایت شما به روز نباشد سایت شما ایمن نخواهد بود پس لازم است تمامی درخواست های بروزرسانی را جدی بگیرید. بروزرسانی ها اغلب شامل پیشرفت های امنیتی و تعمیرات سیستمی هستند.
4) امنیت آنتی ویروس و فایروال :
ساده ترین راه برای محافظت از سایت و اطمینان از امنیت وردپرس، استفاده از فایروال برنامه وب (WAF) است. فایروال وب سایت قبل از اینکه به وب سایت شما برسد، همه بازدیدهای مخرب را مسدود می کند. فایروال وب سایت سطح DNS – این فایروال ها ترافیک وب سایت شما را از طریق سرورهای پراکسی ابر خود هدایت می کنند. این کار به آن ها امکان می دهد فقط ترافیک اصلی را به وب سرور شما ارسال کنند. این افزونه های فایروال پس از اینکه به سرور شما دسترسی پیدا می کنند قبل از بارگذاری اکثر اسکریپت های وردپرس، ترافیک را بررسی می کنند. این روش به اندازه فایروال سطح DNS در کاهش بار سرور کارآمد نیست.
5) امنیت سیستم مدیریت محتوا :
هر فایلی که از منبع غیر اصلی آن دریافت می شود می تواند مستعد و حاوی انواع بدافزارها باشد. به شدت توصیه می کنیم این اصل را رعایت کنید تا از بروز مشکلات حاد و به خطر افتادن امنیت سایت خود جلوگیری کنید.
6) امنیت مسیر ورود به سایت :
احراز هویت به کنترل فرایند دسترسیها میپردازد و بهعنوان یک سرویس امنیتی، هویت کاربران را در چندین لایه با ارائه مدارک معتبر از قبیل رمز عبور یکبار مصرف، QR کد و اعلانهای فشاری درون برنامهای (Push Notification) در موبایل تأیید میکند.
شما می توانید با استفاده از قابلیت محافظت از مسیر ورود به مدیریت سایت ، از به وقوع پیوستن مشکلات در این زمینه جلوگیری کنید. در صورتی که پسورد و یوزرنیم به سرقت رفت ، با کمک این روش می توان از سوء استفاده هکرها از مسیر ورود به مدیریت سایت جلوگیری نمود. شاید این روش امنیت صد درصدی ایجاد نکند ، اما به دلیل اینکه تا حدی امنیت را افزایش می دهد نباید از آن غافل شد.
7) فعال کردن SSL :
امنسازی URLهای سایتتان، نقش جدی در افزایش امنیت وب سایت دارد. بنابراین اهمیت دارد تا با استفاده از یک URL ایمن، از اطلاعات خود و کاربرانتان محافظت کنید. SSL از جمله پروتکلهایی است که از امنیت اطلاعات شخصی کاربران با ایجاد رمزگذاری در زمان انتقال این اطلاعات، محافظت میکند. همچنین دیگر ویژگی این پروتکل، جلوگیری از دسترسی افراد نامناسب به دادههای کاربران است. بسیاری از وب سایتهای معتبر مانند GlobalSign از این پروتکل استفاده میکنند.
8) امنیت از طریق SSL :
یکی از بهترین راهکارها برای حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتی SSL بر روی سایت است که علاوه بر موارد امنیتی ، تاثیرات بسیار خوبی در نتایج سئو و جلب اعتماد کاربران دارد.
SSL مخفف Secure Sockets Layer یکی دیگر از پروتکل های ضروری جهت افزایش امنیت سایت است. SSL اطلاعات شخصی بازدید کننده را بین وب سایت و پایگاه داده شما در حین انتقال رمزگذاری می کند تا از خواندن آن توسط سودجویان جلوگیری کند.
9) استفاده از CDN :
از سرویس CDN برای کاهش فشار بر سرور و افزایش سرعت و عملکرد وبسایت و محافظت از آن در برابر حملات DDOS2 استفاده میشود.
(CDN) کاربردهای فراوانی دارد و برای مدیریت حجم بالایی از ترافیک ساخته شده است. این سرویس میتواند افزایش ناگهانی ترافیک ناشی از حملات DDoS را مجدداً در سرورهای ابری توزیع کند. بهاینترتیب وب سرور اصلی به فعالیت خود ادامه میدهد.
10) از وب سایت خود پشتیبان تهیه کنید :
تهیه نسخه پشتیبان از وب سایت همیشه از مهم ترین مباحث در حفظ امنیت سایت و افزایش امنیت سایت بوده، به این دلیل که ممکن است سایت شما به هر دلیلی غیر فعال شود و یا فایل های شما از دسترس خارج شوند. در صورتی که شما یک نسخه پشتیبان از سایت خود تهیه کرده باشید دیگر نگران از دست دادن اطلاعات و محتوای خود نخواهید بود.
چک لیست افزایش امنیت وردپرس :
به روزرسانی وردپرس
گذرواژه ها و مجوزهای کاربر
نقش میزبانی وب
امنیت وردپرس (بدون کدگذاری)
یک راه حل پشتیبان گیری از وردپرس نصب کنید.
بهترین افزونه امنیتی وردپرس
فعال کردن فایروال برنامه وب (WAF)
سایت وردپرس را به SSL / HTTPS منتقل کنید.
نام کاربری پیش فرض “مدیر” را تغییر دهید.
ویرایش پرونده را غیرفعال کنید.
اجرای فایل PHP را غیرفعال کنید.
تلاش های ورود به سیستم را محدود کنید.
تأیید هویت دو عاملی را اضافه کنید.
پیشوند پایگاه داده وردپرس را تغییر دهید.
از WP-Admin محافظت کنید و وارد شوید.
نمایه سازی فهرست را غیرفعال کنید.
XML-RPC را در وردپرس غیرفعال کنید.
به طور خودکار کاربران غیر فعال را خارج کنید.
سوالات امنیتی را به ورود به وردپرس اضافه کنید.
اسکن وردپرس برای بدافزار و آسیب پذیری ها
رفع یک سایت هک شده وردپرس
استفاده از سرویس CDN
پنهان کردن یا تغییر نام فایل های حساس وردپرس مانند wp-config.php و .htaccess
تهیه قالب ها و افزونه های معتبر از منابع رسمی و قابل اعتماد
انواع حملات سایبری :
حملات DoS و DDoS :
Dos مخفف عبارت Denial of Service بوده و یکی از انواع حملات سایبری است و به این شکل عمل میکند که منابع یک سیستم با حد زیادی از درخواستهای غیر مجاز روبرو شده که همین امر باعث میشود فرصتی برای پاسخگویی به درخواستهای معتبر نداشته باشد.
حمله DDoS (Distributed Denial of Service) شباهت زیادی به DoS دارد با این تفاوت که در این نوع حمله از تعداد زیادی دستگاههای آلوده به بدافزار استفاده میشود که مهاجمین کنترل آن را بر عهده دارند. این حملات معمولا به منظور مقابله با رقبای تجارری استفاده میشوند و حملاتی هستند که با آسیب رساندن به سیستم میتوانند زمینه را برای سایر حملات فراهم کنند.
حملات MITM :
یکی از انواع حملات سایبری است که در آن فرد مهاجم بین دو فرد، شبکه یا کامپیوتر قرار گرفته و تلاش میکند که به اطلاعات مبادله شده بین آنها دسترسی پیدا کند. در حمله مرد میانی (Man In The Middle) مهاجم در حال جاسوسی از تعامل دو طرف است. بهترین روش برای جلوگیری از این نوع حمله، استفاده از رمزنگاری پیشرفته بر روی اکسس پوینتها و همچنین استفاده از سرویسهای VPN است.
حملات Phishing :
در این حمله به عنوان یکی از متدوالترین انواع حملات سایبری، هکر یا مهاجم ایمیل یا پیامهای به ظاهر معتبر از طرف منابع قانون میکند تا از این طریق به اطلاعات دسترسی پیدا کند. در واقع مهاجم یک لینک برای افراد ارسال کرده و کاربران را به یک وبسایت جعلی به منظور دانلود بدافزار هدایت میکند. تنها روش جلوگیری از این حملات توجه به عناوین ایمیل یا پیامهای ارسال و آدرس دامنه سایت هدایت شده است.
فیشینگ یکی از رایج ترین اشکال حملات سایبری است و رایج بودن آن به دلیل راحتی انجام دادن آن و موثر بودن شگفت آور آن است.
برخی از خطرناک ترین ریسک های فیشینگ شامل موارد زیر هستند:
برداشت پول از حساب بانکی شما
هزینه های جعلی در کارت های اعتباری شما
دسترسی فیشر به رسانه و فایل های شما
ارسال پست های شبکه های اجتماعی جعلی از حساب شما توسط فیشر
فیشر با جعل هویت شما، دوستان یا اعضای خانواده شما را در معرض ریسک قرار می دهد.
حملات باجافزاری (Ransomware) :
در این روش حمله به عنوان یکی از انواع حملات سایبری ، مهاجم پس از اینکه به اطلاعات مورد نظر دسترسی پیدا کرد، قربانی را به انتشار ، مسدودسازی دادهها یا سیستمهای کامپیوتری تهدید میکند تا از قربانی برای دسترسی دوباره به اطلاعات باجگیری کند.
حملات رمز عبور (Password Attack) :
یکی از اهداف جذاب برای مهاجمان سایبری ، کشف رمز عبور است که از راههای مختلفی میتوان به آن دست پیدا کرد. ردیابی تبادل اطلاعات شبکه، مهندسی اجتماعی، روش Burte-Force (حدس زدن رمز عبور از طریق اطلاعات فردی و شغلی)، Dictionary Attack (کشف رمز با استفاده از کلمات و عبارتهای رایج) و غیره از مهمترین روشهای حملات رمز عبور به عنوان یکی از انواع حملات سایبری است.
حمله SQL Injection :
یکی از انواع حملات سایبری رایج است که در حمله به وبسایتهایی مورد استفاده قرار میگیرد که برای ارائه خدمات به کاربران به پایگاه داده وابسته هستند. در این روش مهاجمان میتوانند کامندهای SQL بر روی دیتابیس سایت ایجاد کرده و دسترسی مورد نظر خود را ایجاد کنند. تعیین میزان دسترسی هر یک از کاربران به پایگاه داده بهترین روش جلوگیری از این حمله است.
حمله URL Interpretation :
در این حمله به عنوان یکی از هوشمندانهترین انواع حملات سایبری، مهاجمان اقدام به ایجاد یا تغییر در آدرسهای URL کرده و به دادهها و اطلاعات قربانی دسترسی پیدا میکنند.
در این روش مهاجم URLهای مختلف را برای رسیدن به دسترسی مدیر وبسایت حدس میزند و زمانی که بتواند به صفحه مورد نظر وارد شود، آن را دستکاری کرده یا به دادههای مورد نظر دسترسی پیدا میکند.
بهترین روش برای جلوگیری از این حمله، استفاده از روشهای امنیتی مانند احراز هویت چندعاملی و همچنین استفاده از رمز عبور قدرتمند است.
حمله DNS Spoofing :
در این روش ، مهاجمان در سوابق DNS تغییراتی ایجاد کرده و به این ترتیب ترافیک را به سمت یک وبسایت جعلی هدایت میکنند تا قربانی اطلاعات خود را در آن وارد کرده و این اطلاعات را سرقت کنند. اطمینان از بهروز بودن سرورهای DNS، بهترین روش برای جلوگیری از این نوع حمله سایبری است.
حمله Trojan Horses :
یکی دیگر از انواع حملات سایبری است که در آن از یک برنامه مخرب مستتر در یک برنامه معتبر استفاده میشود. زمانی که کاربر این برنامه را اجرا کند، بدافزار مستتر شده، یک Backdoor در سیستم ایجاد کرده و راهی برای نفوذ مهاجم به سیستم یا شبکه باز میکند. آموزش به کاربران در خصوص دانلود و نصب برنامه از منابع معتبر و استفاده از فایروالهای نسل جدید بهترین روشهای مقابله با این حملات هستند.
حمله Drive-by :
در این روش از انواع حملات سایبری، مهاجم کدهای مخرب را در یک وبسایت غیر ایمن تعبیه میکند. زمانی که کاربران از سایت بازدید میکنند، اسکریپت به صورت خودکار اجرا شده و سیستم را آلوده میکند. در این روش که هیچ نیازی به کلیک کردن یا وارد کردن اطلاعات وجود ندارد، اطمینان از اجرای جدیدترین نرمافزارهای امنیتی بر روی سیستم اصلیترین روش جلوگیری به حساب میآید.
حمله Eavesdropping :
Eavesdropping به معنی ردیابی ترافیک در زمان مبادله اطلاعات است. در این روش مهاجمان میتوانند به دادههای ارزشمندی مانند نام کاربردی، رمز عبور و اطلاعات مربوط به کارتهای بانکی و اعتباری دسترسی پیدا کنند. این روش که بهترین راه برای مقابله با آن رمزنگاری پیشرفته دادهها است، به دو صورت انجام میشود:
Active: قرار دادن نرمافزار در شبکه توسط مهاجم و جمعآوری اطلاعات